Ajouter une règle d'ouverture d'une machine sur Internet
Firewall as a Service est un système de gestion des demandes d'ouverture de règles Firewall d'une machine sur Internet.Firewall. Il remplace l'ancien système de demande de liste verte sur formulaire papier :
https://www.unil.ch/ci/home/menuinst/catalogue-de-services/reseau-et-telephonie/firewall-as-a-service.html
Ce service permet la création, la modification et la suppression de règles rendant accessible une machine depuis Internet sur les ports TCP et UDP ou services désirés.
Pour ajouter une règle :
-
Remplissez le formulaire en indiquant le nom FQDN de la machine concernée : Lien vers le service
-
Pour le service en destination, vous avez deux choix possibles :
- Service TCP/UDP : Indiquez les ports TCP ou UDP à ouvrir en respectant le format suivant : séparateur virgule "," , plage séparée par "-". Il n'est plus possible d'utiliser ANY.
- Applications : Sélectionnez l'application dans la liste suivante. CTRL+CLIC pour multi sélections.
Veuillez noter que seul le port par défaut est autorisé
- web-browsing : trafic web sur le port tcp/80
- ssl : trafic web chiffré sur le port tcp/443
- ssh : trafic ssh ou sftp sur le port tcp/22
- smtp-base : protocole de transfert de courrier simple sur les ports tcp/25,587
- ms-rdp : protocole Remote Desktop Protocol sur les ports tcp/3389, udp/3389
- ping : ICMP echo request
- icmp : Protocole ICMP utilisé par les applications
- ms-ds-smb : Protocole de transfert de fichier SMB, ports tcp/445,139, udp/445
- ipsec-esp: Protocole pour les VPN ipsec
- ike : Protocole pour les VPN ipsec tcp/500, udp/500
- acme-protocol : Protocole pour let's encrypt tcp/80
- ftp : Protocole pour le transfert de fichiers tcp/20,21
- rclone : Protocole pour le transfert de fichiers tcp/80,443
- Service TCP/UDP : Indiquez les ports TCP ou UDP à ouvrir en respectant le format suivant : séparateur virgule "," , plage séparée par "-". Il n'est plus possible d'utiliser ANY.
- Indiquez la source qui accède à la machine :
-
- WORLD : Tout Internet
- EUROPE : Union Européenne + Royaume-Uni + Suisse
- SUISSE : Seulement la Suisse
- UNIL : Les réseaux de l'UNIL
- OTHER : Vous pouvez mettre une liste de sous-réseaux au format IP/CIDR. Exemple : 192.168.1.1/24 pour un sous-réseau, 192.168.1.1/32 pour une adresse IP unique.
- LDAP : Ouvre seulement à un groupe LDAP en interne de l'UNIL, le groupe doit figurer dans la liste. Pour toute demande d'ajout veuillez contacter le groupe CI-Réseau.
Avant de soumettre la demande, assurez-vous de lire et de valider les conditions d'utilisation.
La demande générera un ticket, et le suivi ainsi que l'historique seront accessibles sur https://tickets.unil.ch. La règle associée sera ajoutée après validation, rendant ainsi la machine accessible sur Internet selon la demande.